Estas son las víctimas perfectas de ransomware, según los ciberdelincuentes
Investigadores han descubierto cómo se ve la víctima perfecta para los grupos de ransomware actuales.
El lunes, KELA publicó un informe sobre las listas realizadas por operadores de ransomware en el submundo del ransomware. Esto incluye las solicitudes de acceso y la forma de obtener un punto de apoyo inicial en un sistema objetivo. El informe reveló que muchos quieren comprar acceso a empresas estadounidenses con un ingreso mínimo de más de $100 millones.
El acceso inicial es ahora un gran negocio. Los grupos de ransomware como Blackmatter y Lockbit pueden eliminar parte del trabajo preliminar involucrado en un ciberataque comprando el acceso inicial. La compra del acceso incluye las credenciales de trabajo o el conocimiento de una vulnerabilidad en un sistema corporativo.
Cuando se considera que una campaña de ransomware exitosa puede resultar en pagos por valor de millones de dólares, este costo se vuelve intrascendente y puede significar que los ciberdelincuentes pueden liberar tiempo para atacar más objetivos.
Los hallazgos de la compañía de ciberseguridad, basados en observaciones en foros de la dark web durante julio de 2021, son reveladores. Estas sugieren que los actores de amenazas buscan grandes empresas estadounidenses, pero también se consideran objetivos canadienses, australianos y europeos.
Los objetivos rusos generalmente se rechazan de inmediato. Y, otros se consideran “no deseados”, incluidos los ubicados en países en desarrollo, probablemente porque los pagos potenciales son bajos.
Sin embargo, aproximadamente la mitad de los operadores de ransomware rechazan las ofertas de acceso a organizaciones del sector de la salud y la educación, sin importar el país. En algunos casos, las entidades gubernamentales y las organizaciones sin fines de lucro también están fuera de las preferencias.
Métodos de acceso preferidos
Además, existen métodos de acceso preferidos. El acceso basado en el protocolo de escritorio remoto (RDP) y las redes privadas virtuales (VPN) resultan populares. Específicamente, acceso a productos desarrollados por empresas como Citrix, Palo Alto Networks, VMWare, Cisco y Fortinet.
“En cuanto al nivel de privilegios, algunos atacantes afirmaron que prefieren los derechos de administrador de dominio, aunque no parece ser crítico”, afirma el informe.
KELA también encontró ofertas para paneles de comercio electrónico, bases de datos no seguras y servidores Microsoft Exchange. Sin embargo, pueden ser más atractivos para los ladrones de datos y los delincuentes que intentan implantar spyware y mineros de criptomonedas.
“Todos estos tipos de acceso son indudablemente peligrosos y pueden permitir a los actores de amenazas realizar varias acciones maliciosas. Empero, rara vez brindan acceso a una red corporativa”, señalaron los investigadores.
Aproximadamente el 40% de los listados fueron creados por ciberdelincuentes en el espacio Ransomware-as-a-Service (RaaS) – ransomware como servicio.
Montos de los pagos
Los operadores de ransomware están dispuestos a pagar, en promedio, hasta $100 000 por valiosos servicios de acceso inicial.
En un estudio anterior, KELA observó otra tendencia notable en el espacio del ransomware: la creciente demanda de negociadores. Los operadores de RaaS están tratando de monetizar mejor la etapa de un ataque cuando una víctima se comunica con los operadores de ransomware para negociar un pago. No obstante, como las barreras del idioma pueden causar problemas de comunicación, los grupos de ransomware están tratando de asegurar nuevos miembros del equipo capaces de manejar el inglés conversacional.
Intel 471 también descubrió que los ciberdelincuentes involucrados en estafas de Business Email Compromise (BEC) están tratando de reclutar hablantes nativos de inglés. Como las señales de alerta de los correos electrónicos de phishing incluyen errores gramaticales y ortográficos deficientes, los estafadores intentan evitar ser detectados en el primer obstáculo pagando a los angloparlantes para que escriban una copia convincente.